SSH : peut-on utiliser deux bi-clés ?

Le
David BERCOT
Bonjour,

J'utilise SSH quasi-exclusivement via une authentification par clés.
Toutefois, jusqu'à présent, je n'avais qu'un seul bi-clés.
A présent, j'aurais bien voulu différencier les serveurs et avoir=
2
clés publiques différentes. Comme il me semble que les noms sont
normalisés (id_rsa.pub ou id_dsa.pub), je me demande si c'est possible.

Auriez-vous quelques informations en la matière ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Michel Schelcher
Le #17954471
Bonjour,

On 25/11 11:19, David BERCOT wrote :
J'utilise SSH quasi-exclusivement via une authentification par clés.
Toutefois, jusqu'à présent, je n'avais qu'un seul bi-clés.
A présent, j'aurais bien voulu différencier les serveurs et avoir 2
clés publiques différentes. Comme il me semble que les noms sont
normalisés (id_rsa.pub ou id_dsa.pub), je me demande si c'est possible.

Auriez-vous quelques informations en la matière ?



Aucun problème à priori:
- ssh-keygen propose le nom du fichier à créer
- coté client, ssh a l'option -i pour choisir une autre clé privée
- coté serveur, il suffit de mettre une clé publique par ligne dans le
authorized_keys

a+

Jean-Michel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #17954461
Le 25 novembre 2008 11:19, David BERCOT
Bonjour,

J'utilise SSH quasi-exclusivement via une authentification par clés.
Toutefois, jusqu'à présent, je n'avais qu'un seul bi-clés.
A présent, j'aurais bien voulu différencier les serveurs et avoir 2
clés publiques différentes. Comme il me semble que les noms sont
normalisés (id_rsa.pub ou id_dsa.pub), je me demande si c'est possible.

Auriez-vous quelques informations en la matière ?

Merci d'avance.

David.



C'est possible bien sur et c'est même recommandé : chaque machine
devrait avoir sa propre clé.

Quand on génère une clé via 'ssh-keygen -t rsa' on crée un duo cl é
publique/clé privée, il n'est pas concevable que la clé privée
(id_rsa) soit divulgué ou transmise, elle devrait toujours rester dans
votre .ssh.

-----------------

Admettons que vous ayez deux machine, p1 et p2 :

-----------------

Sur p1, vous générez votre duo de clé avec ssh-keygen, puis vous
transmettez votre clé publique sur p2.
[ .ssh]$ ssh-keygen -t rsa
...
[ .ssh]$ scp id_rsa.pub p2:~/.ssh/id_rsa.pub.p1

Sur p2 vous devez inclure la clé publique de p1 dans .ssh/authorized_keys

[]$ cat id_rsa.pub.p1 >> authorized_keys

Voila votre peut maintenant se connecter sur p2 sans authentifcatio n.

-----------------

Maintenant l'autre sens :

[ .ssh]$ ssh-keygen -t rsa
...
[ .ssh]$ scp id_rsa.pub p1:~/.ssh/id_rsa.pub.p2

Sur p1 vous devez inclure la clé publique de p2 dans .ssh/authorized_keys

[]$ cat id_rsa.pub.p1 >> authorized_keys

votre peut maintenant se connecter sur p1 sans authentifcation.

-----------------

--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #17954451
Correction :


Sur p1 vous devez inclure la clé publique de p2 dans .ssh/authorized_ke ys

[]$ cat id_rsa.pub.p2 >> authorized_keys




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Daniel Caillibaud
Le #17955011
Kevin Hinault a écrit :
C'est possible bien sur et c'est même recommandé : chaque machine
devrait avoir sa propre clé.



Plutôt chaque user, voire chaque user sur chaque machine ! (à la limite, un utilisateur peut utiliser la même clé sur plusieurs machines, mais donner
la même clé à différents users de la même machine ne me parait pas une bonne idée)

Sur p2 vous devez inclure la clé publique de p1 dans .ssh/authorized_keys

[]$ cat id_rsa.pub.p1 >> authorized_keys

Voila votre peut maintenant se connecter sur p2 sans authentifcation.



Je conseillerais d'ajouter un
from="ip_machine1" ...
au début de la ligne contenant la clé publique dans le .ssh/authorized_keys, pour n'autoriser à se connecter sur p2 que depuis machine1
(on peut lister plusieurs ip séparées par des virgules, et mettre des ipv4 ou des ipv6).

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #17955151
Le Tue, 25 Nov 2008 11:50:03 +0100,
Jean-Michel Schelcher
Bonjour,

On 25/11 11:19, David BERCOT wrote :
> J'utilise SSH quasi-exclusivement via une authentification par clé s.
> Toutefois, jusqu'à présent, je n'avais qu'un seul bi-clé s.
> A présent, j'aurais bien voulu différencier les serveurs et a voir 2
> clés publiques différentes. Comme il me semble que les noms s ont
> normalisés (id_rsa.pub ou id_dsa.pub), je me demande si c'est
> possible.
>
> Auriez-vous quelques informations en la matière ?

Aucun problème à priori:
- ssh-keygen propose le nom du fichier à créer
- coté client, ssh a l'option -i pour choisir une autre clé pri vée
- coté serveur, il suffit de mettre une clé publique par ligne dans le
authorized_keys



En effet, par rapport aux autres réponses reçues, je n'ai peut- être pas
été assez clair ;-) Je parlais bien d'un unique user (je n'ai jam ais
pensé utiliser la même clé pour plusieurs users), avec plusi eurs clés...

Donc, la réponse de Jean-Michel me convient parfaitement (je viens de
tester, et ça roule).
Maintenant, j'aurais un complément : j'utilise aussi SSHFS. Et là , je
n'ai pas trouvé d'équivalent à l'option '-i' (j'ai testà © -i sans
succès). Auriez-vous une solution pour ce cas-là ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #17955381
David BERCOT a écrit :
En effet, par rapport aux autres réponses reçues, je n'ai peut-être pas
été assez clair ;-) Je parlais bien d'un unique user (je n'ai jamais
pensé utiliser la même clé pour plusieurs users), avec plusieurs clés...

Donc, la réponse de Jean-Michel me convient parfaitement (je viens de
tester, et ça roule).



et si on ne veut pas taper -i, on peut utiliser ~/.ssh/config

Host tagada
HostName serveur.example.com
User toto
Port 12345
IdentityFile ~/.ssh/tagada

Host boomboom
HostName serveur.example.com
User toto
Port 12345
IdentityFile ~/.ssh/boobmboom

man ssh_config pour plus d'infos.

Maintenant, j'aurais un complément : j'utilise aussi SSHFS. Et là, je
n'ai pas trouvé d'équivalent à l'option '-i' (j'ai testé -i sans
succès). Auriez-vous une solution pour ce cas-là ?

Merci d'avance.

David.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Cerbelle
Le #17955501
Le Mar 25 novembre 2008 12:58, David BERCOT a écrit :
[...]
Maintenant, j'aurais un complément : j'utilise aussi SSHFS. Et là, je
n'ai pas trouvé d'équivalent à l'option '-i' (j'ai testé -i sans
succès). Auriez-vous une solution pour ce cas-là ?



Sauf erreur, SSHFS sait utiliser l'agent ssh. Donc, tu ajoutes tes
différentes clés dans l'agent au début de ta session avec "ssh-add"

Fanfan
--
http://www.cerbelle.net - http://www.afdm-idf.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Cerbelle
Le #17955491
Le Mar 25 novembre 2008 11:51, Kevin Hinault a écrit :
Correction :
Sur p1 vous devez inclure la clé publique de p2 dans
.ssh/authorized_keys
[]$ cat id_rsa.pub.p2 >> authorized_keys





Ou encore :
[] ~ $ ssh-add
[] ~ $ ssh-copy-id


Fanfan
--
http://www.cerbelle.net - http://www.afdm-idf.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #17955481
Le Tue, 25 Nov 2008 13:04:48 +0100,
mouss
David BERCOT a écrit :
> En effet, par rapport aux autres réponses reçues, je n'ai peu t-être
> pas été assez clair ;-) Je parlais bien d'un unique user (je n'ai
> jamais pensé utiliser la même clé pour plusieurs users), avec
> plusieurs clés...
>
> Donc, la réponse de Jean-Michel me convient parfaitement (je viens
> de tester, et ça roule).

et si on ne veut pas taper -i, on peut utiliser ~/.ssh/config

Host tagada
HostName serveur.example.com
User toto
Port 12345
IdentityFile ~/.ssh/tagada

Host boomboom
HostName serveur.example.com
User toto
Port 12345
IdentityFile ~/.ssh/boobmboom

man ssh_config pour plus d'infos.

> Maintenant, j'aurais un complément : j'utilise aussi SSHFS. Et l à,
> je n'ai pas trouvé d'équivalent à l'option '-i' (j'ai te sté -i sans
> succès). Auriez-vous une solution pour ce cas-là ?



Ca marche parfaitement !!!

Merci à tous.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme